Conception et preuves d’algorithmes cryptographiques Cours de magist

(1)

Conception et preuves d’algorithmes cryptographiques

Cours de magist`ere M.M.F.A.I.

Ecole normale sup´erieure ´

Jacques Stern

Louis Granboulan Phong Nguyen David Pointcheval

Edition 2004 ´

(2)

(3)

Table des mati` eres

1 Introduction `a la cryptologie

— par Jacques Stern 5

1.1 Qu’est ce que la cryptologie ? . . . 5

1.2 Cryptographie conventionnelle . . . 7

1.3 M´ethodes statistiques de cryptanalyse . . . 10

1.4 Cryptographie `a cl´e publique . . . 11

1.5 Cryptographie et complexit´e . . . 13

2 Chiffrement par bloc et cryptanalyse diff´erentielle — par Louis Granboulan 17 2.1 Modes d’op´eration . . . 18

2.2 Principes de conception . . . 25

2.3 Etude th´´ eorique des sch´emas de Feistel . . . 29

2.4 Cryptanalyse diff´erentielle . . . 30

2.5 Variantes de la cryptanalyse diff´erentielle . . . 34

2.6 Autres techniques de cryptanalyse . . . 36

3 Vingt-cinq ans d’attaques de RSA — par Phong Nguyen 43 3.1 Le cryptosyst`eme RSA . . . 44

3.2 RSA et la factorisation d’entiers . . . 46

3.3 Attaques ´el´ementaires . . . 47

3.4 Attaques sur les impl´ementations du RSA . . . 50

3.5 Attaques simples du RSA `a petit exposant . . . 51

3.6 Attaques à base de géométrie des nombres . . . 53

3. A L’algorithme LLL . . . 65

4 La sécurité prouvée en chiffrement asymétrique — par David Pointcheval 71 4.1 La cryptographie asymétrique . . . 72

4.2 Formalisation . . . 73

4.3 Les cryptosyst`emes RSA et Rabin . . . 78

4.4 Le probl`eme du logarithme discret . . . 80

4.5 Le cryptosyst`eme de El Gamal . . . 82

4.6 Les attaques `a chiffr´es choisis adaptatives . . . 84

5 Zero-knowledge et identification — par Jacques Stern 93 5.1 Motivation et exemple . . . 93

5.2 Approche formelle du ZK . . . 96

5.3 Preuves ZK d’identit´e . . . 98

(4)

(5)

Chapitre 1 (2h)

Introduction ` a la cryptologie

— par Jacques Stern

Sommaire

1.1 Qu’est ce que la cryptologie ? . . . 5

1.1.1 Quelques d´efinitions . . . 5

1.1.2 Quelques rep`eres historiques . . . 6

1.2 Cryptographie conventionnelle . . . 7

1.2.1 Chiffrement et d´echiffrement . . . 7

1.2.2 D´ecryptement . . . 7

1.2.3 Chiffrement par bloc . . . 8

1.2.4 Chiffrement par flot . . . 9

1.2.5 Intégrité et authenticité . . . 9

1.3 M´ethodes statistiques de cryptanalyse . . . 10

1.3.1 Cryptanalyse du chiffrement de Vigen`ere . . . 10

1.3.2 Cryptanalyse du chiffrement de Geffe . . . 10

1.3.3 Tests d’hypoth`ese . . . 11

1.4 Cryptographie `a cl´e publique . . . 11

1.4.1 El´´ ements de th´eorie algorithmique des nombres . . . 11

1.4.2 RSA . . . 12

1.5 Cryptographie et complexit´e . . . 13

1.5.1 Machines de Turing polynomiales . . . 13

1.5.2 R´eduction et simulation . . . 14

1.1 Qu’est ce que la cryptologie ?

1.1.1 Quelques d´ efinitions

La cryptologie est la science des messages secrets. Longtemps restreinte aux usages diplomatiques et militaires, elle est maintenant une discipline scientifique à part entière, dont l’objet est l’étude des méthodes permettant d’assurer les services d’intégrité, d’authenticité et de confidentialité dans les systèmes d’information et de communication.

Un service d’intégrité garantit que le contenu d’une communication ou d’un fichier n’a pas été modifié. Par exemple, on peut souhaiter vérifier qu’aucun changement du contenu

(6)

d’un disque dur n’a eu lieu : des produits commerciaux, mettant en jeu des m´ethodes cryptologiques, sont disponibles (voir notamment [12]) `a cet effet.

Un service d’authenticitégarantit l’identité d’une entité donnée ou l’origine d’une communication ou d’un fichier. Lorsqu’il s’agit d’un fichier et que l’entité qui l’a créé est la seule

`

a avoir pu apporter la garantie d’authenticité, on parle de non-répudiation. Le service de non-répudiation est réalisé par une signature numérique. Une définition précise sera donnée plus loin ; on se bornera ici à constater que la loi du 20 mars 2000 [5] a fait passer ce concept dans la vie sociale.

Un service deconfidentialit´egarantit que le contenu d’une communication ou d’un fichier n’est pas accessible aux tiers. Des services de confidentialit´e sont offerts dans de nombreux contextes

– en téléphonie mobile, pour protéger les communications dans la partie “aérienne”;

– en télévision à péage pour réserver la réception des données aux abonnés ;

– dans les navigateurs, par l’intermédiaire du protocole SSL (Secure Socket Layer), dont l’activation est souvent indiquée par un cadenas fermé représenté en bas de la fenêtre.

La cryptologie se partage en deux sous-disciplines, également importantes : la crypto- graphiedont l’objet est de proposer des méthodes pour assurer les services définis plus haut et la cryptanalysequi recherche des failles dans les mécanismes ainsi proposés.

1.1.2 Quelques rep` eres historiques

L’ouvrage [10] distingue trois périodes dans l’histoire de la cryptologie. L’âge artisanal part des origines : Jules César utilisait, semble-t-il, un mécanisme de confidentialité rudi- mentaire, où chaque lettre d’un message était remplacée par celle située trois positions plus loin dans l’alphabet. La méthode se généralise et prend le nom de substitution. Une autre méthode change l’ordre des lettres ; elle a été mise en œuvre au Moyen- Âge notamment par un dispositif appelé “grille de Cardan”. De fa¸con générale, jusqu’au début du ving- tième siècle, la cryptographie était affaire de substitutions et de transpositions. On opérait d’ailleurs fréquemment des substitutions non seulement sur des lettres mais sur des mots, en s’aidant d’une sorte de dictionnaire à double entrée, nommécode ourépertoire. La cryptanalyse, quant à elle, utilisait des méthodes statistiques simples, fondées principalement sur la fréquence des lettres ou des suites de deux lettres (digrammes) dans un texte.

L’âge technique garde les substitutions et les permutations mais les met en œuvre à l’aide de machines mécaniques ou électro-mécaniques. Les plus célèbres sont la Hagelin et l’Enigma utilisée par l’armée allemande durant la seconde guerre mondiale. La com- plexité des méthodes rendues ainsi accessibles étant plus grande, la cryptanalyse devient plus conceptuelle et a aussi recours à des machines. Pour venir à bout de l’Enigma, les Alliés réunissent à Bletchley Park un groupe de scientifiques, dont Alan Turing, inventeur des machines qui portent son nom (et que nous retrouverons plus loin). Turing parvient

`

a réaliser une spectaculaire cryptanalyse en la réduisant à une recherche de cas suffisam- ment restreinte pour être menée par une machine spécialement construite à cet effet. C’est aussi Turing qui, dans le cadre d’une autre cryptanalyse également réussie, fit construire le Colossus, doté d’électronique, et qui peut être considéré comme l’un des ancêtres de nos ordinateurs modernes.

L’âge paradoxal couvre les vingt-cinq dernières années. Il voit l’introduction de méca- nismes donnant des réponses positives à des questions a priorihors d’atteinte :

– Comment assurer un service de confidentialité sans avoir au préalable établi une convention secrète commune ?

(7)

– Comment assurer un service d’authenticité — basé sur la possession d’un secret — sans révéler la moindre information sur le secret ?

La période récente est également marquée par le développement d’une importante commu- nauté de recherche. Cette communauté a largement transformé l’image de la cryptologie : elle a apporté une plus grande rigueur a la cryptographie en essayant de produire, autant que possible des preuves partielles de sécurité, de type mathématique. Elle a également donné un statut nouveau à la cryptanalyse, destinée maintenant à valider les méthodes proposées par une approche systématique, plutôt qu’à donner un avantage compétitif ou stratégique.

1.2 Cryptographie conventionnelle

1.2.1 Chiffrement et d´ echiffrement

La cryptographie conventionnelle est principalement li´ee aux services de confidentialit´e.

Elle réalise sur les données m une transformation c = E_k(m), par l’intermédiaire d’un algorithme de chiffrement E. Cet algorithme prend en entrée le message clair m et un paramètre secret k, qu’on appelle la clé. Le messagem varie dans un ensembleM et la clé kdans un ensemble K. La restauration du texte clair à partir du chiffré ou cryptogramme cse fait par un algorithme dedéchiffrement Dk, prenant en entrée le chiffré et la même clé.

On doit avoir D_k(E_k(m)) = m. En général, le chiffré prend sa valeur dans le même espace M et l’on a aussi E_k(D_k(c)) = c, c’est à dire que les algorithmes E_k et D_k réalisent une permutation deM.

La distinction entre l’algorithme et la clé s’est établie il y a fort longtemps, notamment dans les travaux du cryptologue Auguste Kerckhoffs [4]. Ce dernier a en effet su reconnaˆıtre que l’algorithme de chiffrement n’exigeait pas le secret, dans la mesure où il risquait de toutes fa¸cons de passer aux mains de l’ennemi. La cryptologie moderne recommande même des méthodes de chiffrement totalement explicites, de manière à ce qu’elles soient évaluées et validées par un débat ouvert entre experts. Du coup, une convention secrète entre entités qui souhaitent communiquer de fa¸con chiffrée, se limite à l’échange d’une clé k.

1.2.2 D´ ecryptement

L’opération qui consiste à calculer le clair m à partir du chiffré c = E_k(m), mais sans la connaissance de la clék est appelée décryptement. La confidentialité est assurée si cette opération est impossible. On distingue divers scénarios possibles d’attaque

– les attaques à chiffré seul, où l’adversaire dispose d’un certain nombre de chiffrés E_k(m_i) ;

– les attaques à clair connu, où l’adversaire dispose d’un certain nombre de chiffrés E_k(m_i) et des clairs correspondants m_i;

– les attaques à clair choisi, où l’adversaire dispose d’un certain nombre de chiffrés E_k(m_i) correspondant à des clairs de son choix m_i; si de plus chaque message m_i est défini en fonction des chiffrés obtenus antérieurement, on parle d’attaque à clair choisi adaptative.

Le lecteur pourra définir d’autres variantes, comme l’attaque à chiffré choisi. Le but de l’attaque est la découverte de la clé ou le décryptement d’un chiffré c, correspondant à un clair dont on ne dispose pas. Les attaques à chiffré seul sont les plus difficiles. Néanmoins, l’adversaire dispose en général d’informations statistiques sur le clair. En d’autres termes,

(8)

les messages sont créés en suivant une probabilité qui correspond à une distribution sur M, appelée distribution a priori. L’interception d’un (ou plusieurs) chiffrés a pour effet de conditionner cette distribution, produisant une distribution a posteriori : par exemple si l’on sait qu’un message chiffré provient d’une distribution équiprobable sur les mots “tas”,

“sas”, “mur” et si le chiffrement est une substitution de lettres, alors l’interception du chiffr´e XUV ´elimine “sas”. On dit qu’un chiffrement est parfait si les deux distributions co¨ıncident.

Le théorème de Shannon énonce que l’espace des clés K est alors de taille au moins égale

`

a l’espace des messages. Il existe d’ailleurs un mécanisme appelé chiffrement de Vernam ouone-time pad, qui assure un tel niveau de sécurité : il consiste à chiffrer un message de b bits m_i à l’aide d’un clé k de b bits également, le chiffré étant le “ou exclusif bit-à-bit”

défini par c_i =m_i ⊕k_i. Pour autant qu’on génère la clé aléatoirement et qu’on ne l’utilise qu’une fois, cette méthode de chiffrement offre une sécurité absolue, qu’on nomme aussi inconditionnelle.

En général, on ne peut utiliser un chiffrement de Vernam et on conserve une même clé k pour chiffrer un certain nombre de messages. La connaissance d’un petit nombre de chiffrés produit alors une distribution conditionnelle qui définit la clé de manière unique.

Pour le comprendre, il suffit d’imaginer qu’un algorithme de chiffrement opère sur des mots de huit octets mais qu’on a intercepté quelques chiffrés correspondant à des suites de huit caractères ASCII 7 bits. Pour chaque cléket pour chaque chiffré interceptéc, la probabilité queD_k(c) soit un message bien formé est environ 1/2000. Ce chiffre provient, par un calcul simple, du pourcentage dans chaque octet des caractères ASCII, lequel est de 38.6 %. Si donc on exploite 10 chiffrés l’espace des clés compatibles avec ces chiffrés est réduit d’un facteur environ 2⁻¹¹⁰. Même pour des clés de 128 bits, on n’a plus que quelques solutions et on tombe rapidement à une seule solution avec quelques chiffrés supplémentaires. De fait la sécurité devient algorithmique : on ne peut que demander que, compte tenu de la puissance de calcul dont il dispose, l’adversaire ne puisse déterminer l’unique valeur de la clé. A cet égard, il existe toujours une méthode permettant de retrouver la clé à partir de quelques couples clair/chiffré, (mi, ci), en nombre suffisant pour assurer l’unicité. Elle consiste à explorer l’espace des clés et à tester pour chaque clé siE_k(m₁) =c₁. Si le test est positif, on effectue le teste analogue sur m₂ et ainsi de suite. On s’arrête quand la clé a été trouvée. En moyenne, on parcourt la moitié de l’espace des clésK.

1.2.3 Chiffrement par bloc

Dans les algorithmes de chiffrement par bloc, l’espace des messages est de la forme {0,1}^b. Autrement dit le clair (comme le chiffré) est une suite de b bits. Des messages de taille supérieure à b sont chiffrés en les complétant à un multiple de b bits, par une règle de formatage convenue et en chiffrant bloc par bloc. Il existe plusieurs modes d’opération.

Le mode ECB (electronic code book) chiffre successivement chaque bloc. Le mode CBC (cipher block chaining), fait le “ou exclusif” de chaque bloc avec le chiffré précédent avant d’appliquer l’algorithme de chiffrement, soit c_i = E_k(ci−1 ⊕ m_i). On peut convenir que, pour chiffrer le premier blocm₁, on prendc₀ nul ou ajouter un vecteur d’initialisation IV, transmis en clair, et poser c₀ =IV. Le déchiffrement calculem_i par ci−1⊕D_k(c_i).

Le plus connu des algorithmes de chiffrement est le DES (voir [8, 6, 11]). Il opère sur des blocs de 64 bits avec des clés de 56 bits. Il est essentiellement composé d’une suite de 16 tours identiques, chaque tour réalisant une transformation de Feistel. Une telle transformation génère une permutation sur 2nbits à partir d’une fonctionf dépendant d’une cléket dont les entrées sont sur n bits. Les 2n bits sont séparés en deux blocs de n bits L et R et on

(9)

pose L⁰ = R, R⁰ = L⊕f_k(R). Cette fonction est inversible. Les clés de tour sont formés de 48 bits extraits de la clé du DES par une méthode qui dépend du tour considéré. Une description plus précise du DES sera fournie ultérieurement. On considère aujourd’hui le DES comme obsolète, principalement à cause de la taille trop réduite de la clé. On utilise souvent le triple DES avec deux clés (k₁,k₂), la fonction de chiffrement étant dérivée de celle du DES par la formule E_k₁(D_k₂(E_k₁(m))). En prenantk₁ =k₂, on retrouve le DES.

Le successeur officiel du DES est l’AES [1], choisi apr`es une comp´etition ouverte aux

équipes de recherche industrielles et académiques. C’est un algorithme de chiffrement par blocs dont les blocs ont 128 bits et les clés ont 128, 192 ou 256 bits. L’AES est une suite dertours, chacun réalisant une suite de permutations et de substitutions dépendant d’une clé de tour et opérant sur une matrice 4×4 d’octets. La valeur der est fixée à 10 pour les clés de 128 bits, à 12 pour des clés de 192 bits et à 14 pour des clés de 256 bits.

1.2.4 Chiffrement par flot

Dans les algorithmes de chiffrement parflot, une suite d’octets ou de bits ri est produite

`

a partir de la clé. Cette suite est combinée aux octets ou aux bits du clair m_i pour donner les octets ou les bits du chiffréc_i, suivant la formule c_i =m_i ⊕r_i.

RC4 est un algorithme de chiffrement par flot, utilisé notamment dans le protocole SSL de Netscape. C’est la propriété de la société RSA Data Security Inc. mais les versions publiées, par exemple dans [8], n’ont pas été démenties. A partir de la clé de longueur variable, par exemple 128 bits, un tableauS de 256 octets est initialisé et deux compteurs i etj mis à zéro. Pour générer un nouvel octet aléatoire, on applique les opérations suivantes

i= (i+ 1) mod 256 j =j+S[i] mod 256

´echangerS[i] et S[j]

t=S[i] +S[j] mod 256 retourner S[t]

Une méthode extrêmement efficace pour produire une suite de bits utilisable pour un chiffrement par flot, notamment dans les environnements matériels se fonde sur les registres

`

a décalages. Ces dispositifs ont L registres, numérotés de 0 à L−1, chacun contenant un bit d’état interne. A chaque coup d’horloge, le contenu du registre numéroté 0 est retourné, le contenu s_i du i-ième registre (i ≥1) avance dans le i−1-ième. Le dernier registre sL−1

re¸coit une valeur calculée par une fonction de rétroactionf dépendant des_L−1,· · ·s₀, notée f(sL−1,· · ·s₀). Il est clair que si le contenu initial des registres est [sL−1,· · ·, s₀], le bit s_j produit au j-ième coup d’horloge est donné, pour j ≥L, par la relation de récurrence

s_j =f(sj−1, sj−2,· · ·, sj−L)

Lorsque f est linéaire on parle de registre à décalages linéaire (LFSR, linear feedback shift register).

1.2.5 Int´ egrit´ e et authenticit´ e

Le service d’intégrité est assuré par un algorithme qu’on peut qualifier de conventionnel même si les définitions qui suivent sont récentes. Unefonction de hachage cryptographiqueH calcule un condensé de taille fixe à partir d’un message formé d’une suite de bits quelconque.

On requiert qu’il soit pratiquement impossible `a un adversaire de calculer des collisions,

(10)

c’est `a dire de produire des messages m et m⁰ diff´erentes mais tels que H(m) = H(m⁰).

Cette propriété empêche la substitution d’un message à un autre, si le condensé est conservé séparément. La fonction de hachage la plus répandue est la norme SHA-1. Elle produit des condensés de 20 octets.

Les méthodes conventionnelles assurent des services d’authenticité, mais ne garantissent pas la non-répudiation, puisque les clés secrètes sont partagées. Pour authentifier un message, sans le chiffrer, on peut calculer et transmettre le dernier chiffré dans un chiffrement CBC du message, voire une partie de ce chiffré. Le nom traditionnel de cette méthode est CBC-MAC, le mot MAC étant l’acronyme de Message Authentication Code.

1.3 M´ ethodes statistiques de cryptanalyse

On va donner ici quelques exemples d’utilisation des probabilités et statistiques en cryptanalyse. Ces exemples seront complétés dans la suite du cours. On verra également dans la suite du cours que la cryptologie de l’âge paradoxal s’est enrichie de méthodes de cryptanalyse plus algébriques.

1.3.1 Cryptanalyse du chiffrement de Vigen` ere

Pour mesurer la distance entre deux distributions de probabilitésD₁ etD₂ sur un même espace de probabilité fini, on peut utiliser leur distance, définie par

X

x

|pr₁(x)−pr₂(x)|

où x décrit l’espace et pr_i désigne la probabilité relative à D_i. On peut aussi utiliser leur distance euclidienne

(X

x

|pr₁(x)−pr₂(x)|²)^1/2

Le carré de la distance euclidienne de la distribution des lettres dans une langue donnée à la distribution uniforme est un invariantκ qui vaut 0.0393 en fran¸cais et 0.0282 en anglais.

Considérons un algorithme qui effectue sur un texte d’une des langues une suite périodique de transformations, chacune réalisant une substitution fixe de lettres, les substitutions étant choisies indépendemment les unes des autres. Un tel algorithme est appelé chiffrement de Vigenère et sa périodetest supposée inconnue. La probabilité que deux occurrences de deux lettres du cryptogramme co¨ıncident est de Pn

i=1p²_i, lorsque les occurrences sont à distance multiple de t et 1/n autrement. Dans ce qui précède, pi désigne la probabilité d’apparition (dans le clair) de lai-ème lettre et n le nombre de lettres. La différence est exactement κet on peut ainsi retrouver la valeur secrète de t en calculant pour t = 1,2, . . ., la probabilité queci =ct+1 dans le texte chiffré. Un pic apparaˆıt pour la bonne valeur de t.

1.3.2 Cryptanalyse du chiffrement de Geffe

L’algorithme de Geffe est un algorithme de chiffrement par flot qui combine les sorties de trois LFSR, soitxj,yj,zj par la fonction booléenne (multiplexeur)zjxj⊕(1⊕zj)yj. A priori, la clé secrète du générateur se compose du contenu initial des trois LFSR. Toutefois, on observe que laj-ème sortie du générateur de Geffe vaut x_j avec probabilité 3/4. Supposons maintenant que le texte clair soit une suite de caractères ASCII 7 bits. Alors, en extrayant le

(11)

bit de chaque octet dont le clair vaut zéro, on obtient une suite de bits égaux avec probabilité 3/4 au bit correspondant de x_j. On peut donc tester chaque état initial du premier LFSR, calculer la suite x_j correspondante et évaluer la fréquence de co¨ıncidence avec x_j des bits de chiffré correspondant à un clair nul. L’état initial correct conduit à un résultat proche de 3/4 ; les autres à une valeur proche de 1/2.

1.3.3 Tests d’hypoth` ese

Dans l’exemple qui précède, on a fait un certain nombre d’hypothèses successives (sur la configuration initiale du premier LFSR) et on les a testées par un algorithme évaluant la fréquence d’un certain événement. Si cette fréquence est proche de 3/4 — disons supérieure

`

aα >1/2 — on a validé l’hypothèse, sinon on l’a infirmée. Il peut toutefois arriver 1. qu’on rejette une hypothèse correcte (erreur) ;

2. qu’on accepte une hypoth`ese incorrecte (fausse alerte).

On peut estimer le niveau de confiance c’est à dire la probabilité que l’une ou l’autre situation se produise. On se restreint à la première et on considère que l’événement que l’on observe est la fréquence des succès dans n tirages de Bernoulli indépendants de paramètre p= 3/4. On note σ la variance de cette distribution σ = √

pq, où q = 1−p. Le théorème central limite affirme que, si S_n désigne le nombre de succès observés en n tirages, on a :

Pr

S_n−np σ√

n < β

−→ N(β) o`u N(x) est la loi normale

N(β) = 1

√2π Z x

−∞

e⁻^y

2 2 dy

On pourra finalement estimer la probabilit´e d’erreur en fonction du seuil choisi α et de l’´echantillon disponiblenparN(^(α−p)

√n

σ ). Pour que cette probabilit´e ne soit pas trop grande, il faut que√

n exc`ede assez significativement l’inverse de la diff´erence |α−p|.

1.4 Cryptographie ` a cl´ e publique

1.4.1 El´ ´ ements de th´ eorie algorithmique des nombres

On rappelle qu’un entier positifn s’´ecrit de mani`ere unique comme produit de facteurs premiers n=Q

i∈Ip^e_iⁱ, o`uI est l’ensemble des indices des nombres premiers qui divisentn.

En quotientantZ par la relationx=y modn, qui exprime quex−yest divisible par n, on obtient l’anneauZn. On peut choisir de décrire cet anneau en associant à chaque élément x deZ l’unique représentant xmodn de sa classe d’équivalence qui soit positif et strictement plus petit que n. Le théorème des restes chinois énonce que l’application

x∈Zn 7−→(x_i modp^e_iⁱ)i∈I

est un isomorphisme. Les éléments deZⁿ qui ont un inverse multiplicatif forment un groupe noté Z^?n. Ce groupe est isomorphe au produit :

Y

i∈I

Z^?_p^ei

i

(12)

Un élément x deZⁿ est dans Z^?n si et seulement son pgcd avec n est égal à 1. L’algorithme d’Euclide étendu permet alors de calculer les coefficients de Bézoutaetbtels queax+bn= 1 et donc d’obtenir l’inverse a de x modulo n. Le nombre d’éléments de Zn est notéϕ(n) et la fonctionϕ ainsi définie prend le nom d’indicatrice d’Euler. On a alors, pour tout élément xde Z^?n :

x^ϕ(n)= 1 modn L’isomorphisme mis en évidence ci-dessus entraˆıne l’égalité

ϕ(n) =Y

i∈I

ϕ(p^e_iⁱ)

et, en comptant le nombre d’éléments premiers àpê_iⁱ, on obtient ϕ(pê_iⁱ) = (p−1)pêⁱ⁻¹. Soit p un nombre premier, alors ϕ(p) = p− 1 et donc Z^p est un corps commutatif.

L’égalité x^p−1 = 1 modp est le “petit” théorème de Fermat. Pour x 6= 0, on pose ^x_p

= x^p−1² modp. Cette quantité prend le nom desymbole de Legendre. Elle vaut 1 ou −1 selon quexest ou non un carré. Quandn n’est pas premier, on peut définir le symbole de Jacobi, noté également ^x_n

, en posant

x n

=Y

i∈I

x p_i

ei

Le symbole de Legendre est facilement calculé en utilisant l’algorithme d’exponentiation modulaire qui prend en entrée trois entiers positifs x, e, n et retourne xê modn comme suit :

a= 1 ;

pour i=k−1 jusqu’`a 0 par pas de −1 a=a∗amodn

si e_i 6= 0 a=a∗xmodn retourner a

Dans le pseudo-code ci-dessus, k est une constante représentant le nombre de bits de e et e_i désigne une fonction qui extrait le i-ème bit de e (comme en C, e & (1 i)). Le symbole de Jacobi est calculé en utilisant d’une part la loi de réciprocité quadratique de Gauss, qui

´enonce l’identit´e

m n

n m

= (−1)^{(n−1)(m−1)}⁴ et d’autre part l’´egalit´e

2 n

= (−1)ⁿ

2−1 8

1.4.2 RSA

Il est facile de produire des nombres premiers p : une méthode pratique repose sur le test probabiliste de Rabin. Ce test choisit au hasard un entier x, 0 < x < n, et calcule xⁿ⁻¹ modn par la méthode rappelée ci-dessus. On conclut quen n’est pas premier dans les deux cas suivants

1. si le résultat final est6= 1 (le petit théorème de Fermat est contredit) ;

(13)

2. si la variable a prend successivement une valeur 6= ±1 et la valeur 1 (la première de ces valeurs est une racine carrée de l’unité 6=±1 et Z^?n n’est pas un corps).

On répète le test de base un nombre prescrit de fois et on déclare premier un nombre pour lequel on n’a pas conclu qu’il ne l’était pas. On démontre que la probabilité d’erreur du test est exponentiellement petite en fonction du nombre de répétitions.

Il est en revanche difficile de calculer la décomposition en facteurs d’un entier. On appelle entier RSA un produit de deux facteurs premiers de même taille n =pq. Pour de tels nombres, le record de factorisation est à 512 bits (154 chiffres décimaux), au prix de l’utilisation de plusieurs centaines de machines pendant plusieurs mois.

Soit n un entier RSA et e un entier premier `a ϕ(n). Soit d l’inverse de e modulo ϕ(n).

On a :

(xê modn)^dmodn= (x^dmodn)êmodn=xêd modn=xmodn

On remarque de plus que, si n et e sont donnés, p et q ne sont pas facilement accessibles, ni non plusd. On a donc une situation analogue à celle d’un algorithme de chiffrement et d’un algorithme de déchiffrement conventionnels : la fonction x 7→ xêmodn joue le rôle de l’algorithme de chiffrement et la fonction x 7→ x^dmodn joue le rôle de l’algorithme de déchiffrement. Toutefois, ces algorithmes prennent en entrée des clés distinctes, e pour le premier, d pour le second et la connaissance de e ne permet pas de déduire d. On a ainsi poussé à l’extrême le principe de Kerckhoffs : même la clé de chiffrement peut passer sans inconvénient aux mains de l’ennemi. Cette possibilité a été découverte par Diffie et Hellman dans [3] et le système RSA a été ensuite proposé par Rivest, Shamir et Adleman dans [7].

Le couplepk= (n, e) prend le nom de clé publique et permet le chiffrement, l’entier sk=d est la clé privée, qui autorise le déchiffrement. On note que la connaissance de sk permet de résoudre l’équation

X^e =bmodn

où b est une constante arbitraire, c’est à dire d’extraire des racines e-ièmes arbitraires.

L’équation est publique et une solution est publiquement vérifiable. Le RSA permet donc d’offrir le service de non-répudiation, hors d’atteinte de la cryptologie conventionnelle.

1.5 Cryptographie et complexit´ e

1.5.1 Machines de Turing polynomiales

Pour l’évaluation des algorithmes, notre modèle de calcul est la machine de Turing à plusieurs rubans (voir par exemple [9]). La machine peut retourner un bit ou calculer une fonction dont le résultat est sauvegardé sur un ruban particulier. Le temps de calcul est le nombre de pas de calculs avant arrêt de la machine. Sauf exception, ce temps de calcul sera toujours polynomial, c’est à dire borné par un polynôme en fonction de la taille des données. Cette taille des données prend en cryptographie le nom deparamètre de sécurité : typiquement, c’est la taille de l’entier RSAn de la section précédente.

Un prédicat polynomial est une relation R(x, y) qui peut être testée par une machine de Turing polynomiale (en fonction du paramètre de sécurité). On requiert de plus que les tailles de x et y restent polynomiales (toujours en fonction du paramètre de sécurité). Un problème de la classe NP consiste, sur une donnéex, en la recherche d’un élément ytel que R(x, y), où R est un prédicat polynomial.

Il existe pas mal de variantes de la machine de Turing, dont la cryptologie fait usage — au moins dans sa partie la plus th´eorique. Une machine de Turing polynomiale probabiliste

(14)

dispose d’un ruban spécifique dit ruban d’aléa, contenant une suite de bits Ω de taille assez longue pour qu’on n’en manque pas. C’est donc une machine normale, à cela près que les différentes configurations initiales du ruban d’aléa peuvent s’interpréter comme un espace de probabilité, muni de la distribution uniforme. Les configurations successives de la machine deviennent des variables aléatoires, de même par exemple que le résultat du calcul. Si la machine retourne un bit, on peut ainsi calculer la probabilité que ce bit soit à un.

Une machine à oracle permet le recours à un sous programme sur lequel on ne fait pas d’hypothèse de complexité. Elle dispose d’un ruban particulier, dit ruban d’oracle.

Lorsque son programme l’indique, elle peut soumettre le contenu du ruban d’oracle et l’oracle retourne la fonction qu’il a la charge de calculer (en un pas de calcul). Cette notion permet en particulier de comparer les problèmes algorithmiques : une réduction polynomiale d’un problème à un autre est une machine polynomiale à oracle qui résout le premier problème à l’aide d’un oracle pour le second. Un problème est NP-complet si tout autre problème NP s’y réduit. Les cognoscenti feront remarquer que ce n’est pas là la définition classique et qu’on a substitué la réduction de Cook à celle de Karp : pour cette dernière, il y a un unique appel à l’oracle qui fournit le résultat final du calcul.

Un type particulier d’oracle est l’oracle aléatoire (voir [2]) : il retourne sur chaque question une réponse aléatoire. On requiert seulement qu’il soit consistant, en ce sens qu’il doit donner des réponses identiques à des questions égales. L’oracle aléatoire est un modèle imparfait de fonctions dont le comportement est générique, par exemple les fonctions de hachage. Mathématiquement, il n’y a plus d’oracle : on peut simplement considérer une pile polynomiale des réponses successives aux différentes questions, munie d’une distribution uniforme, comme un ruban d’aléa.

Enfin, une machine de Turing polynomiale probabiliste peut être munie de rubans d’in- teraction. Ces rubans permettent de modéliser les communications entre machines. Les messages re¸cus d’une autre machine sont placés dans un ruban de réception, ceux à desti- nation d’une machine distante sont sauvegardés dans un ruban d’envoi. On note MTTPI le modèle de machine interactive obtenu.

1.5.2 R´ eduction et simulation

Dans l’approche algorithmique de la cryptologie, les algorithmes cryptographiques sont exécutés par des MTPPI. Les adversaires sont également des MTTPI et les divers scénarios de cryptanalyse précisent les ressources dont ils disposent. Par exemple une attaque “à chiffré choisi” autorise l’adversaire à interagir avec une machine qui exécute l’algorithme de déchiffrement. La méthode fondamentale est de prouver l’existence d’une réduction : en utilisant l’adversaire comme oracle, on parvient à résoudre un problème déterminé réputé difficile, comme la factorisation des entiers. En l’absence de réponse à la question ouverte P =N P, on ne peut de toutes fa¸cons pas faire mieux. Une tendance récente vise toutefois

`

a quantifier la sécurité, c’est à dire à proposer des réductions “efficaces” : le temps de calcul de la réduction et sa probabilité de succès doivent alors être optimisés.

La cryptologie “théorique” modélise également la protection du secret : l’exécution des algorithmes cryptographiques par des MTTPI produit une trace visible pour l’adversaire : ce dernier peut en effet

– intercepter les communications : on parle d’adversaire passif;

– interagir avec les machines ex´ecutant les algorithmes : on parle d’adversaire actif.

L’information recueillie est la vue de l’adversaire, qui peut ensuite mettre en œuvre les m´ethodes statistiques, telles que celles de la section 1.3. Bien entendu la vue de l’adversaire

(15)

dépend de divers secrets, comme par exemple une clé privéesk d’un algorithme RSA. Pour garantir queskreste à l’abri des attaques statistiques, on utilise la notion de simulation, qui est en somme la version algorithmique de la sécurité à la Shannon. Un simulateur est une MTTP qui produit une vue simulée, sans accéder à sk. On souhaite montrer que les deux vues sont essentiellement identiques ; pour cela on les considère comme des distributions de probabilité sur l’ensemble des vues possibles.

1. si ces distributions sont identiques, on parle de simulation parfaite ;

2. si ces distribution ont une distance n´egligeable on parle de simulation statistique ; 3. si aucun test probabiliste ne distingue les deux distributions de fa¸con non n´egligeable,

on parle de simulation algorithmique.

Dans ce qui précède le mot négligeable peut faire référence à des évaluations concrètes ou

`

a une estimation asymptotique : est négligeable une quantité qui décroˆıt exponentiellement avec le paramètre de sécurité, ou plus vite que l’inverse de tout polynôme. Un test statistique retourne zéro ou 1. Sa probabilité de succès est la probabilité d’obtenir 1. On distingue deux distributions en calculant la différence des deux probabilités de succès.

(16)

Bibliographie

[1] AES Advanced Encryption Standard, http://csrc.nist.gov/encryption/aes/

[2] M. Bellare & P. Rogaway. Random Oracles Are Practical : a Paradigm for Designing Efficient Protocols. InProc. of the 1st CCS, pages 62–73. ACM Press, New York, 1993.

[3] W. Diffie & M. E. Hellman. New Directions in Cryptography, IEEE Trans. Inform.

Theory, IT-22, 1976, 644–654.

[4] A. Kerckhoffs. La cryptographie militaire, Paris, 1883.

[5] LOI no 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux tech- nologies de l’information et relative `a la signature ´electronique

http://www.adminet.com/jo/20000314/

[6] A.J. Menezes, P.C. van Oorschot & S.A. Vanstone. Handbook of applied cryptography, CRC Press, new York, 1997.

[7] R. Rivest, A. Shamir & L. Adleman. A Method for Obtaining Digital Signatures and Public Key Cryptosystems. Communications of the ACM, 21(2) :120–126, February 1978.

[8] B. Schneier, Applied Cryptography, 2nd ed., John Wiley & Sons, New York, (1995).

[9] J. Stern. Fondements math´ematiques de l’informatique, Mac Graw Hill, Paris (1990).

[10] J. Stern.La science du secret, ´Editions Odile Jacob, Paris, (1998).

[11] D. Stinson.Cryptographie, th´eorie et pratique, Thomson Publishing France, Paris, 1996.

[12] Tripwire Inc.Tripwire, 2001, http://www.tripwire.com/

(17)

Chapitre 2 (6h)

Chiffrement par bloc et cryptanalyse diff´ erentielle

— par Louis Granboulan

Sommaire

2.1 Modes d’op´eration . . . 18

2.1.1 Modes d’op´eration d’un syst`eme de chiffrement par bloc . . . 18

2.1.2 Modes classiques . . . 19

2.1.3 Modes de flot . . . 21

2.1.4 Int´egrit´e . . . 24

2.2 Principes de conception . . . 25

2.2.1 Modèle de sécurité . . . 25

2.2.2 Chiffrement it´eratif et diversification de clef . . . 26

2.2.3 Confusion et diffusion . . . 26

2.2.4 Quelques exemples . . . 26

2.2.5 R´eseaux `a base de boˆıtes de substitution . . . 27

2.2.6 R´eseaux de type Feistel . . . 28

2.2.7 Autres constructions . . . 28

2.3 Etude th´´ eorique des sch´emas de Feistel . . . 29

2.3.1 Attaques utilisant un distingueur . . . 29

2.3.2 Attaques g´en´eriques . . . 29

2.3.3 Preuves de s´ecurit´e . . . 30

2.4 Cryptanalyse diff´erentielle . . . 30

2.4.1 Description de l’attaque . . . 30

2.4.2 Mise en œuvre . . . 32

2.4.3 R´esistance prouv´ee . . . 34

2.5 Variantes de la cryptanalyse diff´erentielle . . . 34

2.5.1 Diff´erentielles tronqu´ees . . . 35

2.5.2 Diff´erentielles impossibles . . . 35

2.5.3 Diff´erentielles d’ordre sup´erieur . . . 35

2.5.4 Boomerang . . . 35

2.6 Autres techniques de cryptanalyse . . . 36

2.6.1 Cryptanalyse lin´eaire . . . 36

(18)

2.6.2 Attaque par interpolation . . . 36 2.6.3 Attaque par résolutions de système d’équations algébriques . . . 36 2.6.4 Attaque par décalage . . . 36 2.6.5 Attaque par saturation . . . 37

Ce chapitre se décompose en deux ensembles, de trois sections chacun. Les trois premières sections présentent les grands principes de conception des systèmes de chiffrement par bloc, sans réellement étudier leur sécurité pratique. Les suivantes présentent les techniques de cryptanalyse qui permettent d’en évaluer la sécurité, en particulier la cryptanalyse différentielle, qui illustre les difficultés d’analyse des cryptosystèmes symétriques.

2.1 Modes d’op´ eration

2.1.1 Modes d’op´ eration d’un syst` eme de chiffrement par bloc

L’objectif est d’avoir un service de confidentialité Alice veut transmettre à Bob un ou plusieurs messages, par un canal peu sûr. Alice et Bob se sont auparavant mis d’accord sur une convention publique (choix d’un système de chiffrement par bloc et d’un mode d’opération), et sur une donnée secrète (la clef). Un adversaire (Ève) peut écouter les communications (attaques passives), et éventuellement les modifier (attaques actives).

Définition 2.1 (Système de chiffrement par bloc) Les entiers b et k sont respective- ment la taille (en bits) d’un bloc et celle de la clef. Un système de chiffrement par bloc est une paire de fonctions E et D associant à toute clef k de K ={0,1}^k une permutation E_k de l’espace des blocs {0,1}^b, et la permutation inverse D_k.

Définition 2.2 (Mode d’opération) On appelle mode d’opération d’un système de chiffrement par bloc une technique qui permet, avec une unique clef k, de chiffrer ou déchiffrer un message dont la longueur n’est pas nécessairement b, au moyen d’un certain nombre d’appels de la fonction E_k ou D_k.

Certains systèmes de chiffrement par bloc autorisent plusieurs tailles de bloc, mais ce n’est pas la même chose que l’utilisation d’un mode de chiffrement. En particulier, le temps de chiffrement de tels systèmes subit un accroissement non linéaire en la taille du bloc. De plus, les contraintes de sécurité et leur analyse dépendent fortement de b. Il ne faut donc pas considérer que cette souplesse dans le choix de la taille du bloc est une souplesse pour la taille des messages chiffrés, mais plutôt un choix de sécurité.

Toute implantation d’un système de chiffrement par bloc doit donc choisir un mode d’opération. Quatre modes (ECB, CBC, CFB et OFB) ont été normalisés en 1980 par le NIST (anciennement NBS : National Bureau of Standards, organisme américain de norma- lisation). De nombreux autres modes ont été proposés dans divers contextes, et le NIST a commencé en 2001 une nouvelle sélection [31].

Propriétés. Bien évidemment, tout mode d’opération doit permettre de déchiffrer. La description d’un mode d’opération explique donc comment partir d’un message m de longueur quelconque pour obtenir un chiffré c, et comment à partir de ce chiffré c obtenir le message m. La seule information dont le secret doit garantir la confidentialité de m, connaissant c, est la clef k.

(19)

Un mode d’op´eration est sans expansion si le nombre de bits du chiffr´ecest exactement

égal au nombre de bits du message m. Le mode d’opération peut éventuellement dépendre d’unevaleur d’initialisationpublique et convenue à l’avance entre Alice et Bob. Cette valeur doit pouvoir être choisie par l’attaquant sans que cela n’affaiblisse le système. ¹

L’opération de déchiffrement est déterministe : son résultat est le message clair, ou bien une erreur si le message chiffré ne correspond à aucun clair. Un mode d’opérationgarantit l’intégrité si une modification de c par l’attaquant est détectée au moment de déchiffrer.

C’est une protection n´ecessaire contre les attaques actives.

Remarquons qu’un mode d’opération garantissant l’intégrité avec probabilité d’erreur au plus 2^−l a une expansion d’au moins l bits. En effet, pour tout mode d’opération ayant une expansion delbits, un attaquant peut remplacer le chiffré par une valeur aléatoire, qui est un chiffré valide avec probabilité au moins 2^−l.

Réinitialisation. Dans un grand nombre d’applications, on veut pouvoir chiffrer plusieurs messages avec la même clef secrète, de manière asynchrone. On utilise alors souvent une valeur IV (Initialisation Value), publique, différente pour chaque message. Lorsqu’on veut être protégé contre les attaques actives, on considère que l’adversaire peut choisir la valeur IV utilisée.

2.1.2 Modes classiques

Mode ECB

Définition. ECB signifie Electronic CodeBook. Le message est découpé en blocs de tailleb. Chaque bloc est chiffré séparément par E_k, le chiffré est la concaténation des blocs obtenus.

Le déchiffrement se fait de fa¸con similaire. Le message est découpé en blocs de taille b.

Chaque bloc est déchiffré séparément par D_k, le clair est la concaténation des blocs obtenus.

Chiffrement et d´echiffrement en mode ECB.

c_i =E_k(m_i) E_k m_i =D_k(c_i)

m₀

c0

?

E_k m₁

c1

?

E_k m₂

c2

?

D_k c₀

m0

?

D_k c₁

m1

?

D_k c₂

m2

?

Propri´et´es.

– Expansion.

C’est un mode sans expansion, mais qui ne marche qu’avec des messages dont la longueur est un multiple deb. On peut généraliser le mode ECB aux autres longueurs de message, par exemple en complétant le dernier bloc avec un bit à 1 suivi du nombre adéquat de bits à 0. Le mode ECB a alors une expansion de 1 àb bits.

La technique appel´ee Ciphertext stealing [12] permet de chiffrer sans expansion les messages de longueur au moins b. Appelons mn−1 et m_n les deux derniers blocs, le

1Ceci est différent d’un système randomisé, pour lequel l’opération de chiffrement utilise une valeur aléatoire qui n’est pas transmise en clair. Un même message donne ainsi plusieurs chiffrés distincts. Il y a alors nécessairement expansion du message. En pratique, seuls les systèmes de chiffrement asymétriques sont randomisés.

(20)

dernier pouvant ˆetre incomplet ; leur chiffrement donne les deux blocs c_n−1 et c_n de mˆemes tailles, tels qu’il existe une valeur c⁰ avec E_k(mn−1) = c_n||c⁰ et D_k(cn−1) = m_n||c⁰.

– Performance.

Le mode ECB peut être totalement parallélisé : le chiffrement d’un bloc ne dépend pas du chiffrement des autres.

– R´esistance aux erreurs de transmission.

Si un bloc c_i est modifi´e, seul le bloc m_i correspondant sera modifi´e.

Si un nombre de bits multiple de b est perdu par la transmission, seuls les blocs correspondants sont perdus.

Sécurité. Le mode ECB ne présente aucune détection d’intégrité et est donc vulnérable aux attaques actives. En particulier si le format du texte clair est connu : l’ordre des blocs

`

a l’intérieur peut être changé, et si plusieurs messages ont été chiffrés avec la même clef, ils peuvent être facilement mélangés par l’attaquant.

De plus, des blocs identiques dans le message clair sont transformés en des blocs identiques dans le message chiffré, ce qui donne facilement de l’information à un attaquant passif.

Le mode ECB est le plus simple qu’on puisse imaginer, mais c’est aussi celui dont la sécurité est la plus faible. Sauf pour des applications très particulières, le mode ECB est à

´eviter.

Mode CBC

Définition. CBC signifie Cipher Block Chaining. Alice et Bob ont au préalable convenu d’une valeur publique IV faisant b bits. Le message est découpé en blocs de taille b. Le chiffrement d’un bloc se calcule en chiffrant par E_k le ou bit-à-bit (XOR) du bloc clair et du bloc chiffré précédent. La valeur IV sert de chiffré précédant le bloc 0.

Le déchiffrement se fait de fa¸con similaire. Un bloc du clair est obtenu en déchiffrant avecD_k puis en faisant un ou bit-à-bit avec le bloc chiffré précédent.

Chiffrement et d´echiffrement en mode CBC.

c−1 =IV

ci =Ek(mi⊕ci−1) mi =Dk(ci)⊕ci−1

IV

-

Ek

m₀

⊕

c₀

?

? -

Ek

m₁

⊕

c₁

?

? -

Ek

m₂

⊕

c₂

?

IV

-

D_k c₀

⊕ m₀

?

? -

D_k c₁

⊕ m₁

?

? -

D_k c₂

⊕ m₂

?

Propri´et´es.

– Expansion.

Si la valeur de IV a été convenue à l’avance, c’est un mode sans expansion, mais qui ne marche qu’avec des messages dont la longueur est un multiple de b. On peut généraliser le mode CBC aux autres longueurs de message, de la même fa¸con que le mode ECB.

– Performance.

Le chiffrement CBC ne peut être parallélisé, mais le déchiffrement CBC peut être totalement parallélisé.

(21)

Si un bloc c_i est modifi´e, seul les blocsm_i etm_i+1 correspondants seront modifi´es.

Si un nombre de bits multiple de b est perdu par la transmission, seuls les blocs correspondants sont perdus.

Sécurité. Le mode CBC ne présente aucune détection d’intégrité et est donc vulnérable aux attaques actives. En revanche, il a une bonne sécurité face aux attaques passives. On peut déduire de l’information sur le message dès que le chiffré contient deux blocs égaux : si c_i =c_j, alors m_i⊕m_j =c_i−1⊕c_j−1. Si les c_i peuvent être considérés comme aléatoires, alors le paradoxe des anniversaires affirme qu’une collision apparaˆıt lorsque 2^b/2 blocs ont

été chiffrés.

Il n’y a pas d’objection à chiffrer plusieurs messages avec la même clef, avec une valeur IV aléatoire différente à chaque fois. En revanche, si l’attaquant a un contrôle sur IV, il ne faut pas chiffrer plusieurs messages avec la même clef. On conseille donc d’utiliser E_k(IV) au lieu de IV, mais alors le déchiffrement utilise Ek etDk.

Le mode CBC est le mode utilis´e dans la plupart des applications des syst`emes de chiffrement par bloc.

2.1.3 Modes de flot

Mode CFB

Définition. Le mode CFB (Cipher FeedBack) fabrique un registre à décalage en mode CTAK (CipherText Auto Key), pour obtenir un chiffrement de flot.

Le mode CFB est paramétré par un entier` inférieur à b et utilise un registre de b bits, initialisé par une valeur publique IV (Initial Value) convenue à l’avance. Le message est découpé en blocs de taille `. À chaque coup d’horloge, on calcule l’image du registre parEk, dont on extrait` bits qu’on appelle r_i. Le bloc est chiffré par ou exclusif : c_i =m_i⊕r_i. La nouvelle valeur du registre est obtenue en faisant un décalage de ` bits, et en y entrant la valeur ci.

Chiffrement s−1 =IV r_i = [E_k(si−1)]_(1...`) c_i =m_i⊕r_i s_i = [si−1]_(`+1...b)||c_i D´echiffrement s−1 =IV r_i = [E_k(si−1)]_(1...`) m_i =c_i⊕r_i s_i = [si−1]_(`+1...b)||c_i

Chiffrement et d´echiffrement en mode CFB, avec `=b.

c₋₁ =IV

c_i =m_i⊕E_k(c_i−1) m_i =c_i⊕E_k(c_i−1)

IV

Ek

6 -

m₀

⊕

c₀

?

Ek

6 -

m₁

⊕

c₁

?

Ek

6 -

m₂

⊕

c₂

?

IV Ek

?

-

c₀

⊕ m₀

?

Ek

?

-

c₁

⊕ m₁

?

Ek

?

-

c₂

⊕ m₂

?

Propri´et´es.

– Expansion.

Si la valeur de IV a été convenue à l’avance, c’est un mode sans expansion : si la longueur du message n’est pas un multiple de `, on utilise une valeur tronquée pour le dernierri.

(22)

– Performance.

Le chiffrement CFB ne peut être parallélisé, mais le déchiffrement CFB peut être totalement parallélisé.

Le chiffrement et le d´echiffrement utilisent tous deux la fonctionE_k, et donc le temps de calcul deD_k n’a aucune influence sur les performances du mode CFB. En revanche, il faut un appel `a E_k tous les ` bits du message.

Si un bloc c_i est modifi´e, seul le bloc m_i et quelques autres seront modifi´es.

Si un nombre de bits multiple de ` est perdu par la transmission, seuls les blocs correspondants sont perdus.

Sécurité. Le mode CFB ne présente aucune détection d’intégrité et est donc vulnérable aux attaques actives. Comme le mode CBC, c’est à partir du chiffrement de 2^b/2 blocs qu’un attaquant obtient éventuellement de l’information sur le message (grâce au paradoxe des anniversaires).

Les contraintes de sécurité sur la fonction E_k sont d’autant moins sévères queèst petit.

Il n’y a pas d’objection à chiffrer plusieurs messages avec la même clef, avec une valeur IV différente à chaque fois, si cette valeur est choisie aléatoirement. On conseille donc dans ce contexte l’utilisation deE_k(IV) au lieu de IV.

Mode OFB

Définition. Le mode OFB (Output FeedBack) fabrique un registre à décalage en mode KAK (Key Auto Key), pour obtenir un chiffrement de flot.

Le mode OFB est paramétré par un entier` inférieur àb et utilise un registre de b bits, initialisé par une valeur publique IV (Initial Value) convenue à l’avance. Le message est découpé en blocs de taille `. À chaque coup d’horloge, on calcule l’image du registre parE_k, dont on extrait` bits qu’on appelle r_i. Le bloc est chiffré par ou exclusif : c_i =m_i⊕r_i. La nouvelle valeur du registre est obtenue en faisant un décalage de ` bits, et en y entrant la valeur r_i.

Chiffrement s−1 =IV ri = [Ek(si−1)]_(1...`) ci =mi⊕ri si = [si−1]_(`+1...b)||ri

D´echiffrement s−1 =IV r_i = [E_k(si−1)]_(1...`) m_i =c_i⊕r_i s_i = [si−1]_(`+1...b)||r_i

Chiffrement ou d´echiffrement en mode OFB, avec `=b.

s₋₁ =IV s_i =E_k(s_i−1) c_i =m_i⊕s_i

m_i =c_i⊕s_i

IV

- E_k ^-

-

m₀

⊕ c₀

?

E_k ^-

-

m₁

⊕ c₁

?

E_k ^-

-

m₂

⊕ c₂

?

Propri´et´es.

– Expansion.

Si la valeur de IV a été convenue à l’avance, c’est un mode sans expansion : si la longueur du message n’est pas un multiple de `, on utilise une valeur tronquée pour le dernierri.

(23)

– Performance.

Le chiffrement ni le déchiffrement OFB ne peuvent être parallélisés.

La séquence des s_i peut être précalculée avant de connaˆıtre le message.

Le chiffrement et le d´echiffrement utilisent tous deux la fonctionE_k, et donc le temps de calcul deD_k n’a aucune influence sur les performances du mode OFB. En revanche, il faut un appel `a E_k tous les ` bits du message.

Si un bloc c_i est modifi´e, seul le bloc m_i sera modifi´e.

Si quelques bits sont perdus par la transmission, toute la fin du message est perdue.

Sécurité. Le mode OFB ne présente aucune détection d’intégrité et est donc vulnérable aux attaques actives.

Les contraintes de sécurité sur la fonction Ek sont d’autant moins sévères queèst petit.

Pour ` = b, si on utilise une fonction E_k indistinguable d’une permutation aléatoire, alors la valeur s_i fera un cycle avant d’avoir parcouru les 2^b valeurs possibles. On pourra donc préférer utiliser un système de chiffrement par blocs tel que chaque permutation Ek a un unique cycle.²

Mode CTR

Définition. CTR signifie CounTeR. La valeur IV est convenue à l’avance, et on fabrique le flotE_k(IV),E_k(IV+ 1),E_k(IV+ 2), ...qui sert à chiffrer le message par ou exclusif.

Chiffrement ou d´echiffrement en mode CTR.

s_i =E_k(IV+i) c_i =m_i⊕s_i m_i =c_i⊕s_i

IV

?

E_k

-

m₀

⊕ c0

?

? IV+ 1

?

E_k

-

m₁

⊕ c1

?

? IV+ 2

?

E_k

-

m₂

⊕ c2

?

Propri´et´es.

– Expansion.

Si la valeur de IV a été convenue à l’avance, c’est un mode sans expansion : si la longueur du message n’est pas un multiple de b, on utilise une valeur tronquée pour le derniersi.

– Performance.

Le chiffrement et le déchiffrement CTR peuvent être parallélisés.

La séquence des si peut être précalculée avant de connaˆıtre le message.

Le chiffrement et le d´echiffrement utilisent tous deux la fonctionE_k, et donc le temps de calcul deD_k n’a aucune influence sur les performances du mode CTR.

2En moyenne, la longueur du plus long cycle d’une permutation al´eatoire de 2^b valeurs est environ 0.6 2^b, mais une telle permutation a tr`es probablement un petit cycle, dans lequel la valeurIV peut avoir

été choisie. Si la fonction Ek n’est pas une permutation, elle peut aussi être utilisée en mode OFB, mais alors le cycle a très probablement longueur 2^b/2.

(24)

Si un bloc c_i est modifi´e, seul le bloc m_i sera modifi´e.

Si quelques bits sont perdus par la transmission, toute la fin du message est perdue.

Sécurité. Le mode CTR ne présente aucune détection d’intégrité et est donc vulnérable aux attaques actives.

Comme la fonction Ek est une permutation, le flot produit ne cycle qu’apr`es 2^b blocs.

2.1.4 Int´ egrit´ e

Chiffrement + MAC

Pour garantir l’intégrité du message, on y ajoute un suffixe (tag) calculé par un MAC (Message Authentication Code). Le résultat calculé par un MAC dépend du message et d’une clef secrète, de telle sorte qu’il soit en pratique nécessaire de connaˆıtre la clef pour vérifier le tag. Si la clef k⁰ du MAC est choisie indépendamment de la clef k du système de chiffrement, alors la sécurité est optimale. C’est ce que Shoup [40] appelle DEM1 (Data Encapsulation Mechanism 1).

L’exemple classique d’algorithme de MAC est le CBC-MAC (décrit par exemple parmi les modes du DES [30]), pour lequel le tag s’obtient en chiffrant le message en mode CBC et en gardant uniquement le dernier bloc chiffré. Souvent, la combinaison confiden- tialité+intégrité est obtenue à l’aide d’un chiffrement CBC, plus un CBC-MAC, tous les deux avec la même clef k, mais des valeursIV distinctes. Par exemple l’une est obtenue par image de l’autre parE_k.

Il existe aussi des algorithmes sp´ecifiques calculant un MAC plus rapidement qu’un chiffrement. Par exemple HMAC [32], UMAC [10], ...

Chiffrement + Checksum

Le coût du calcul d’un MAC n’étant pas négligeable, diverses techniques ont été pro- posées pour obtenir un chiffrement garantissant l’intégrité avec un surcoût très faible par rapport à un simple chiffrement.

L’idée la plus naturelle est de rajouter un bloc de checksum (non cryptographique) à la fin du message, et de chiffrer l’ensemble. Le checksum le plus rapide à calculer est un XOR des blocs du messages : c’est ainsi que marche le mode appelé CBCC.

Presque tous les modes bas´es sur cette id´ee ont des faiblesses. Par exemple on attaque facilement le mode CBCC dans le cas du chiffrement d’un message d’un unique bloc. Le mode ECB + Checksum est pire, puisqu’il n’offre aucune protection contre le changement de l’ordre des blocs du message...

Mode OCB

Le mode OCB a été proposé par Rogaway [38]. C’est une variante du mode IAPM proposé par Jutla [17], lui-même l’un des premiers modes de chiffrement dont la sécurité est prouvée et qui assure l’intégrité pour un surcoût faible.